die anforderungen der dsgvo aus straf- und ... · die anforderungen der dsgvo aus straf-und...

Die Anforderungen der DSGVO aus straf-und ordnungswidrigkeitenrechtlicher Sicht Dr. Eren Basar Fachanwalt für Strafrecht I Compliance Officer (TÜV)

6. Bankrechtstag 2018 Düsseldorf, 13.06.2018

Agenda

I. Die Datenschutzgrundverordnung 1. Aktuelle Diskussionen 2. Compliance Sofortmaßnahmen

II. Das Ordnungswidrigkeitenrecht 1. Die neuen Sanktionen 2. Die DSGVO und das OWiG

III. Das neue Datenschutzstrafrecht 1. § 42 BDSG NEU 2. § 13 StGB DSGVO

3. Stolpersteine

6. Bankrechtstag 2 13.06.2018

I. Die Datenschutzgrundverordnung (DSGVO)

Übersicht

13.06.2018 6. Bankrechtstag 4

Dokumentation Art. 5 Abs. 2 DSGVO

Datenschutz durch Technik Art. 25 DSGVO

Informationsrechte Art. 13 ff. DSGVO

Löschungsrechte Art. 17 DSGVO

Datenübertragung Art. 20 DSGVO

Datenpannen Ar.t 33 DSGVO

Datenschutzbeauftragter Art. 37 DSGVO

Einwilligung Art. 7 DSGVO

Rechtsmäßigkeit der Verarbeitung Art. 6

DSGVO

Verarbeitungsverzeichnis Art. 30 DSGVO

Auftragsverarbeitung Art. 28 DSGVO

Sicherheit der Verarbeitung

Art. 32 DSGVO

Folgenabschätzung Art. 35 DSGVO

Schadensersatz Art. 82 DSGVO

Geldbußen Art. 83 DSGVO

Strafrecht § 42 BDSG

Aufsichtsmaßnahmen Art. 58 DSGVO

Übermittlung Drittländer Art. 44 DSGVO

„Datenschutzgrundverärgerung“

• Datenschutzerklärung Webseiten – „Cookies“.

• Abmahnungen durch die DSGVO. • Veranstaltungsfotos. • Abschalten von Blogs und

Onlinediensten. • Insgesamt: Anforderungen an

kleinere und mittlere Unternehmen.

• Viele Leitfäden hierzu vorhanden.

Aktuelle Diskussionen


• Verzeichnis der Verarbeitungstätigkeiten Art. 30 DSGVO

• Benennung eines Datenschutzbeauftragten Art. 37 DSGVO

• Erfassung und Regelung von Auftragsverarbeitungen Art. 28 DSGVO

• Betroffenenrechte Art. 12 ff. DSGVO

• Meldung von Schutzverletzungen Art. 33 f. DSGVO

*Ehrmann/Kranig, ZD 2018, 199: „5 vor 12“

Sofortmaßnahmen der Compliance*


• Seine Rolle ist in der DSGVO anders definiert als die frühere

Praxis es gehandhabt hat.

• Bestellpflicht folgt risikobasiertem Ansatz:

Der Datenschutzbeauftragte Art. 37 DSGVO


Art. 37 Abs. 1a DSGVO

• Behörden • Gerichte (i.V.m.

§ 5 Abs. 1 BDSG)

Art. 37 Abs. 1b DSGVO

• Umfangreich • regelmäßige • Überwachung

von • Personen

Art. 37 Abs. 1c DSGVO

• Verarbeitung • besondere • Kategorien • von Daten

Art. 38 BDSG

• Regelmäßig 10 • Personen ständig • mit automatisierter • Verarbeitung



Unterrichtung und Beratung Verantwortlicher Art. 39 I a

DSGVO

Unterrichtung und Beratung Beschäftigte Art. 39 I a

DSGVO

Überwachung der Einhaltung der DSGVO Art. 39 I b

DSGVO

Zusammenarbeit und Anlaufstelle Aufsichtsbehörde

Art. 39 I d, e DSGVO

Ansprechpartner für „Betroffene“ Art. 38 IV

DSGVO



Anweisungsfrei Art. 38 III DSGVO

Ausreichende Zeit und Ressourcen Art. 38 II DSGVO

Keine Benachteiligung Art. 38 III DSGVO

Bericht direkt an die höchste Managementebene Art. 38 III 1

DSGVO

Kann andere Tätigkeiten wahrnehmen, allerdings ohne Interessenskonflikt Art. 38 VI

DSGVO

II. Das Ordnungswidrigkeitenrecht

Die neuen Sanktionen


Bis zu 2 % des weltweiten Jahresumsatzes im

vorangegangen Geschäftsjahr oder 10

Mio. EUR

Verstöße Art. 8, 11, 25 - 39, 42, 43 DSGVO

Art. 83 Abs. 4

DSGVO Bis zu 4 % des weltweiten

Jahresumsatzes im vorangegangen

Geschäftsjahr oder 20 Mio. EUR

Verstöße Art. 5, 6, 7 und 9, Art. 12 – 22, Art. 44 – 49 und Nichtbefolgung

Anweisung nach Art. 58 II oder Nichtgewährung

Zugang Art. 58 I DSGVO

Art. 83 Abs. 5

DSGVO

Grad der Vorwerfbarkeit

•Regelung dazu besteht in Art. 83 Abs. 2 S. 2 lit. b). „Vorsatz oder Fahrlässigkeit“ sind im Rahmen der Bußgeldbemessung zu berücksichtigen.

•Umstritten ist, ob auch ein Bußgeld dann verhängt werden kann, wenn überhaupt kein Verschulen vorliegt (+/-).


Erweiterung durch das BDSG


Verstoß gegen § 30 Abs. 1 BDSG:

Gleichbehandlung der

Auskunftserteilung in der EU

§ 43 Abs. 1 BDSG

Verstoß gegen Art. 30 Abs. 2:

Auskunftsanspruch des

Darlehensnehmers

§ 43 Abs. 2 BDSG

Haftung nach dem OWIG:

• Ein Unternehmen als solches kann nicht selbst handeln. Es handelt „durch seine Organe“.

• Über § 30 OWiG wird der Verstoß dem Unternehmen auferlegt, wenn eine der dortigen Leitungspersonen eine Ordnungswidrigkeit oder Straftat begangen hat.

• Über § 130 OWiG (Aufsichtspflichtverletzungen) können nahezu alle Zuwiderhandlungen im Unternehmen, auch diejenigen die von normalen Mitarbeitern begangen werden, zu einer Verbandsgeldstrafe führen.

Wer ist Adressat der Geldbußen?


Haftung nach der DSGVO:

• Datenschutznormen waren früher sog. Jedermannsdelikte. • Normadressat der Bußgelder sind nun die Verantwortlichen.

• Übernahme des Unternehmensbußgeldrechts der EU: • Es genügt für die Verantwortlichkeit des Unternehmens alleine die

rechtswidrige Handlung irgendeiner Person im Unternehmen. • Damit die von den Aufsichtsbehörden verhängten Geldbußen wirksam,

verhältnismäßig und abschreckend sind, sollte für sie die vom EuGH für die Anwendung der Artikel 101 und 102 AEUV festgelegte Definition des Begriffs „Unternehmen“ maßgeblich sein (Erw. 150).

Wer ist Adressat der Geldbußen?


Das Verfahrensrecht

•Für die Geldbußen gilt das OWiG, die StPO und das GVG entsprechend.§ 41 BDSG

•Nach Erlass eines Bußgelds besteht Einspruchsrecht mit Zwischenverfahren.§ 41 BDSG

•Bei Nichtabhilfe Vorlage an die Staatsanwaltschaft.§ 69 OWiG

•Einstellung immer nur mit Zustimmung der AB.§ 41 BDSG


• Die Geldbuße muss in jedem Einzelfall wirksam, verhältnismäßig und

abschreckend sein. Art. 83 Abs. 1 DSGVO

• Die Geldbuße kann anstelle oder neben einer Maßnahme aus Art. 58 Abs. 2a-h,i DSGVO verhängt werden. Art. 83 Abs. 2 DSGVO

• Aber § 41 Abs. 2 BDSG verweist auf § 47 OWiG (Opportunität). Das lässt die DSGVO in der Form nicht zu. Aufsichtsbehörde entscheidet nach pflichtgemäßen Ermessen, aber muss dem Umstand der praktischen Wirksamkeit des Unionsrecht Rechnung tragen.

Ermessen oder Pflicht


III. Das „neue“ Datenschutzstrafrecht

Datenschutzstrafrecht

• Keine direkte Regelung in der

DSGVO, aber Möglichkeit für die nationalen Gesetzgeber zur Regelung. Art. 84 DSVO

• Der Strafrecht des Datenschutzrechts ist wie bisher im BDSG verankert und folgt dem selben Modell wie die a.F.

• Keine Sonderdelikte = jeder kann diese Delikte begehen.

§ 42 Abs. 1 Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, 1. einem Dritten übermittelt oder 2. auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.



§ 42 Abs. 2 Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 1. ohne hierzu berechtigt zu sein, verarbeitet oder 2. durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

§ 42 Abs. 3 Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.

• Gewerbsmäßigkeit und die

Absichten können im Massengeschäft schnell erfüllt sein!

• Verwendung anders als früher jetzt auch erfasst Art. 4 Nr. 2 DSGVO

*


Kernelemente


Bereicherungsabsicht Vermögensvorteil für sich oder einen Dritten, muss nicht rechtswidrig sein – rw der Verarbeitung genügt, d.h. Durchführung einer datenschutzrechtlich unzulässigen Werbeaktion, die auf den Absatz von Waren oder Dienstleistungen gerichtet ist, ist ausreichend.

Gegen Entgelt jede materielle Zuwendung - P Gehalt des AN, offen gelassen durch BGH bisher, aber h.M. (-)

Gewerbsmäßigkeit mittelbare Vorteile reichen, auf den

tatsächlichen Erwerb kommt es nicht an

Schädigungsabsicht Auch immaterielle Schäden, wie

Ehrverletzungen, sind erfasst. Bsp: heimliches Suchen nach

Kündigungsgründen


§ 42 Abs. 4 Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

• Ausdrückliche Verankerung zudem in § 81a Abs. 2 SGB X und § 384a Abs. 3 AO.

• Vorsicht: Das Verbot gilt nur, wenn eine Meldepflichtnach Art. 33 oder 34 DSGVO tatsächlich besteht (str.) und bezieht sich nur auf die meldepflichtigen Umstände nach Art. 33 Abs. 2 DSGVO.


Indirekte Erweiterung durch § 32 DSGVO ?

Exkurs: Strafbarkeitszone Unterlassen

• Eine Strafbarkeit kommt nicht nur durch aktives Tun in Betracht, sondern auch durch das Unterlassen (der rechtlich gebotenen Handlung). • BGH, Urteil vom 17.07.2009 – 5 StR 394/08 („Berliner Stadtreinigung“) zum Compliance Officer.

§ 13 StGB Wer es unterlässt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört, ist nach diesem Gesetz nur dann strafbar, wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt, und wenn das Unterlassen der Verwirklichung des gesetzlichen Tatbestands durch ein Tun entspricht


• Eine Vielzahl von Gesetzen (IT – SiG, TMG, TKG, EnWG) regelt, dass der „Stand der Technik“ eingehalten werden muss. Gesetze richten sich jeweils an verschiedene Verpflichtete. Was der Stand der Technik ist, ist gesetzlich nicht definiert (Sektorspezifische Unterschiede).

• Art. 32 DSGVO ist die weitest gehende Vorschrift, weil (erstmals) nahezu für alle Unternehmen und Unternehmer gilt: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten



Geschäftsleitung ist Verantwortlicher („primärer Garant“) und der IT - Beauftragter sind die TOMS überantwortet („sekundärer Garant“).

Begrenzung der Garantenstellung des Beauftragten durch derivative Ableitung seiner Pflichten:

» Reichweite der Garantenstellung der Geschäftsleitung » Doppelte Begrenzung der Garantenstellung des Beauftragten durch

derivative Ableitung seiner Pflichten



Die BAIT als Anknüpfungspunkt?

• Für alle Kreditinstitute und Finanzdienstleistungsinstitute hat die BaFin am 03.11.2017 im Rundschreiben 10/2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) herausgegeben.

• Die darin enthaltenen Ausführungen sind nicht abschließend (MaRisk bleibt erhalten), aber man Nachlässigkeiten hier dürften besonders haftungsträchtig sein.


Berechtigungsmanagement

IT- Betrieb

Ergänzend BSI Katalog / ISO

27001

Notfall-management

Auslagerung von IT

Backup

Anwendungsbereich ist im Strafverfahren eingeschränkt: Unternehmen müssen das Datenschutzrecht auch im Strafverfahren beachten!

DSGVO und Strafverfahrensrecht


Art. 2 Abs. 2d Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten inkl. Abwehr von Gefahren ist nicht erfasst.

Diese Ausnahme gilt aber ausdrücklich nur für Behörden Anders als § 3 Abs. 3 BDSG a.F. und Art. 3 Abs. 2 RL 95/46 EG wird der Anwendungsbereich der DSGVO nicht komplett verdrängt:

In einer Vielzahl von Fällen wird sich eine Rechtsgrundlage finden. Allerdings muss die Erforderlichkeit immer konkret geprüft werden.

Diese „Sollbruchstelle“ ist für Unternehmen relevant z.B. bei:

Neue Stolpersteine des Strafrechts


Auskunftsverlangen Freiwillige

Herausgaben im Rahmen der

Durchsuchung

Internen Untersuchungen

IV. Zusammenfassung

1. Das neue Datenschutzstrafrecht enthält mehr Veränderungen als auf den ersten Blick ersichtlich ist.

2. Bei der Reform der Sanktionen ist nicht nur die Höhe eine Neuerung: Anders als im bisherigen OWiG wird der Verstoß eines jeden Mitarbeiters dem Verantwortlichen zugerechnet.

3. Das (direkte) Strafrecht enthält seine Verschärfung auch durch eine pot. Ausweitung der Garantenpflicht im Bereich der IT – Security durch die Einführung von § 32 DSGVO.

4. Im Strafverfahrensrecht sind die Vorgaben der DSGVO nicht „erlassen“, sondern müssen beachtet werden. Dies birgt Chancen für die Verteidigung.

Zusammenfassung


V. Fragerunde und Diskussion

13.06.2018 31 6. Bankrechtstag

Etabliert | Wessing & Partner ist eine der anerkanntesten Kanzleien für Wirtschaftsstrafrecht in Deutschland. Fokussiert | Unser Fokus liegt auf der präventiven Beratung, Vertretung und Verteidigung von Unternehmen und Unternehmern in Krisenfällen mit wirtschafts- und/oder steuerstrafrechtlicher Relevanz. Integriert | Wir sind die Generalisten unter den Spezialisten: Unsere Anwälte beherrschen die gesamte Bandbreite des Strafrechts und ergänzen dieses von Fall zu Fall durch Know-how im Zivilrecht, Steuerrecht, Bank- und Kapitalmarktrecht, Kartellrecht oder Arzt- und Medizinrecht. Prozessversiert | Erfahrungen aus der Begleitung zahlreicher Ermittlungs- und Hauptverfahren garantieren unseren Mandanten eine strategische Prozessführungskompetenz, wie sie im Markt nicht selbstverständlich ist.

Kanzlei

13.06.2018 32 6. Bankrechtstag

Studium der Rechtswissenschaften an der Universität Würzburg von 1999 – 2004, Tätigkeit als wissenschaftliche Hilfskraft am Lehrstuhl für Strafrecht, Strafprozessrecht, Rechtstheorie, Rechtsinformatik und Informationsrecht 2004 -2007.

Zulassung als Rechtsanwalt im Jahr 2007, Ernennung zum

Fachanwalt für Strafrecht und Compliance Officer (TÜV) im Jahr 2014.

Seit 2016 Partner der Kanzlei Wessing & Partner Seit 2016 Übernahme von Lehrveranstaltungen an der Christian-

Albrechts-Universität Kiel Mitgliedschaften u.a.: Arbeitsgemeinschaft Strafrecht des

Deutschen Anwaltvereins, International Bar Association, Wirtschaftsstrafrechtliche Vereinigung, Arbeitsgemeinschaft Informationstechnologie des Deutschen Anwaltsvereins (DAVIT)

Dr. Eren Basar

13.06.2018 33

[email protected] Tel. 0211/16844-0

6. Bankrechtstag

Einzelheiten zu unseren Kompetenzen finden Sie auf unserer Website unter strafrecht.de/kompetenzen

Kompetenzen

13.06.2018 34

Korruption

Banken und Kapitalmarkt

Steuern und Selbstanzeigen

Criminal Compliance

Kartelle und Wettbewerb

Krise und Insolvenz

Arzt und Medizin

Unternehmens-strafrecht

Internationales Strafrecht

Interne Untersuchungen IT-Forensik

Individual-verteidigung

Zoll und Außenhandel

6. Bankrechtstag

Vielen Dank für Ihre Aufmerksamkeit!

Wessing & Partner Rechtsanwälte mbB Rathausufer 16 –17, 40213 Düsseldorf Tel. +49 211/16844-0, Fax +49 211/16844-444 [email protected] www.strafrecht.de

die anforderungen der dsgvo aus straf- und ... · die anforderungen der dsgvo aus straf-und...

Documents